L'adozione della direttiva NIS 2 del 27 dicembre 2022, costituisce un ulteriore passo avanti nel processo di consolidamento, diffusione e rafforzamento degli obiettivi di sicurezza informatica che l'Unione Europea aveva già precedentemente fissato e attuato con la direttiva NIS.

Cosa è importante sapere.

La direttiva (UE) 2022/2555, meglio conosciuta come direttiva NIS2, pubblicata nella Gazzetta Ufficiale dell'Unione europea lo scorso Dicembre, entrerà in vigore il 17 gennaio 2023. Gli Stati membri dell'Unione Europea avranno 21 mesi per adottare e pubblicare i pertinenti atti nazionali di recepimento. Allo stesso tempo, le parti interessate pubbliche e private saranno chiamate a preparare e allineare la loro organizzazione e i loro processi con i nuovi obblighi in materia di sicurezza informatica. La direttiva NIS2, infatti, prende forma e sostanza dalla direttiva (UE) 2015/1548 (di seguito "direttiva NIS"). La legge 65/2018, con la quale la direttiva NIS viene recepita in Italia, può essere considerata il primo atto della legislazione europea sulla sicurezza informatica. Essa stabilisce, almeno fino alla sua abrogazione, l'adozione coordinata di misure tecniche e organizzative appropriate da parte degli Stati membri per rafforzare i livelli di sicurezza dei sistemi e delle reti di informazione, nonché per migliorare la gestione degli incidenti informatici. I piani, anche se coerenti sulla carta, hanno mostrato notevoli limitazioni nel tempo dovute principalmente all'improvvisa digitalizzazione dei processi di un numero sempre più crescente di imprese, sensibilmente accelerato dalla crisi pandemica, e alla conseguente maggiore esposizione dei nuovi operatori economici agli attacchi informatici. La direttiva NIS2 introduce quindi, pur ereditando la maggior parte degli obiettivi, misure più rigorose e specifiche in termini di gestione del rischio informatico, comunicazione e condivisione delle informazioni relative agli incidenti di sicurezza, anche per quanto riguarda una serie di settori e ambiti molto più ampi di quelli previsti finora dalla direttiva NIS originaria.

Perchè è stato necessario modificare la direttiva? Da NIS a NIS2

Come già detto la direttiva NIS originaria mirava ad innalzare il livello di sensibilità degli Stati membri sui temi riguardanti la sicurezza informatica, mostrando numerosi limiti non solo dovuti ad eventi recenti che hanno cambiato drammaticamente il sistema socioeconomico globale (ad esempio il Covid-19) ma anche determinati dalla massiccia integrazione di nuove soluzioni e servizi digitali nelle imprese.
La zona di autonomia legislativa lasciata agli Stati membri durante il recepimento della direttiva originaria NIS ha immediatamente creato chiare incertezze e disparità in termini di attori europei che sono chiamati ad applicarla riguardo a misure di sicurezza da attuare, scambio di informazioni sugli incidenti a livello europeo, solo per citarne alcuni. Molte categorie di attori che sono diventate essenziali per il corretto funzionamento del mercato europeo, ma che sono state escluse con il tempo dal campo di applicazione della vecchia direttiva, si sono rivelate inevitabilmente più impreparate nella gestione delle minacce informatiche rispetto ad altre. Per questo l'Unione europea ha presto riconosciuto la necessità di rafforzare e integrare le disposizioni della direttiva precedente e di tracciare la strada verso la nascita dell'attuale direttiva NIS2.

Il campo di applicazione della direttiva NIS 2.

La direttiva NIS originaria era rivolta agli operatori privati che svolgono le loro attività in sette settori chiave ritenuti essenziali dall'UE, ovvero energia, trasporti, banche, infrastrutture dei mercati finanziari, acqua potabile, sanità e infrastrutture digitali. Erano coinvolti anche i fornitori di servizi digitali, quelli nei settori del commercio elettronico, dei motori di ricerca e del cloud computing.
Partendo da queste basi, a causa delle criticità evidenziate, il legislatore ha arricchito la gamma di attori, compresi altri soggetti nell'ambito di applicazione della direttiva NIS2 in settori definiti come "altamente critici" quali: acque reflue, gestione dei servizi ICT (B2B), pubblica amministrazione.

Ha incluso anche i settori cosiddetti "critici o altri settori critici" tra cui:

• servizi postali e di corriere
• gestione dei rifiuti
• fabbricazione, produzione e distribuzione di prodotti chimici
• produzione, trasformazione e distribuzione di alimenti
• produzione in vitro di dispositivi medici e di dispositivi medici diagnostici
• fabbricazione di computer e prodotti elettronici e ottici
• produzione di apparecchiature elettriche
• fabbricazione di macchine e attrezzature n.c.a.
• fabbricazione di veicoli a motore, rimorchi e semirimorchi
• fabbricazione di altri mezzi di trasporto specifici
• fornitori di servizi digitali
• organizzazioni di ricerca

E' importante sottolineare che la direttiva NIS2 va oltre l'approccio precedente legato ai concetti di "operatore di servizi essenziali" e di "fornitore di servizi digitali" che sono liberamente identificati dagli stati membri dell'UE attraverso criteri non uniformi, stabilendo ora criteri uniformi per consentire un'identificazione più coerente e organica degli operatori pubblici e privati in due nuove categorie di attori: "soggetti importanti" e "soggetti essenziali". In particolare, il legislatore ha optato per l'uso del criterio della dimensione dell'entità come elemento essenziale e ha dichiarato che si applica a tutti gli enti pubblici o privati inclusi nei tipi identificati come "criticità elevata" o "altri settori critici" che:

• prestano i loro servizi o svolgono le loro attività all'interno dell'Unione Europea
• sono considerate medie imprese ai sensi dell'articolo 2, paragrafo 1, dell'allegato della direttiva 2003/71/CE o superano i massimali per le medie imprese di cui al paragrafo 1 dello stesso articolo

Inoltre, altri tipi particolari di enti, come i fornitori di reti pubbliche di comunicazione elettronica o di servizi pubblici di comunicazione elettronica, fornitori di servizi di registrazione dei nomi di dominio, alcuni organismi di pubblica amministrazione e quelli definiti come "critici" dalla direttiva 2022/2557, nota anche come direttiva CER, sono soggetti alla direttiva NIS2. In ogni caso, gli stati membri stabiliranno un elenco di attori chiave entro il 17 aprile 2025 da riesaminare e aggiornare almeno ogni due anni, per i quali la compilazione non pregiudica il rispetto dei criteri di applicabilità di cui sopra, e le stesse parti interessate saranno tenute a fornire le informazioni necessarie.

I requisiti principali della direttiva NIS2.

La direttiva sui NIS2, come la direttiva NIS, mira ad imporre alle entità essenziali e importanti di adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi e delle reti informatiche che tali entità utilizzano nelle loro attività o per erogare i loro servizi, nonché a prevenire o ridurre al minimo l'impatto degli incidenti sui destinatari dei loro servizi.

L'approccio adottato dalla nuova direttiva si basa sul concetto del cosiddetto strumento multirischio. Tale metodologia richiede che le parti interessate comprendano almeno le seguenti misure tecniche, operative e organizzative:

• adozione di politiche per l'analisi dei rischi e la sicurezza dei sistemi informatici
• gestione degli incidenti
• continuità operativa, gestione di backup e gestione delle crisi (disaster recovery)
• sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza e al rapporto tra ciascuna entità e i suoi fornitori diretti o fornitori di servizi
• sicurezza dell' acquisizione, dello sviluppo e della manutenzione di sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità
• strategie e procedure per valutare l' efficacia delle misure di gestione del rischio per la sicurezza informatica e le procedure per la valutazione dei medesimi rischi
• igiene informatica di base e pratiche di formazione sulla sicurezza informatica
• politiche e procedure relative all' uso della crittografia
• sicurezza delle risorse umane e strategie per il controllo degli accessi
• impiego di soluzioni di autenticazione multi-fattore o di autenticazione continua, protezione delle comunicazioni vocali, video e di testo e dei sistemi di comunicazione di emergenza

Inoltre, è assolutamente importante che gli stati membri siano tenuti a prevedere che gli organi di gestione dei soggetti chiave e importanti autorizzino le misure di gestione dei rischi di cui sopra, ne sovrintendano l'attuazione e siano responsabili per la violazione di tale obbligo. Questa previsione sembra integrarsi con quanto già previsto in Italia nell'ambito della legislazione nazionale perimetrale sulla cibersicurezza nella parte in cui stabilisce una responsabilità personale estesa per il supervisore del perimetro o responsabile dell'attuazione del perimetro. Un altro adempimento rilevante nel sistema normativo della direttiva NIS2 è quello relativo all'obbligo di segnalare gli incidenti. Anche se questa non è una vera novità, poichè tale criterio è già presente nella direttiva NIS originaria, anche in questo caso il legislatore europeo ha modificato il processo per renderlo più coerente rispetto alla gestione effettiva di un attacco informatico all'interno di imprese complesse.

A tal fine, si prevede che le parti interessate da qualsiasi incidente significativo saranno soggette a una procedura di notifica alle autorità competenti, organizzata in più fasi, che prevede la trasmissione di:

• pre-allarme entro 24 ore dalla scoperta dell'incidente
• notifica, se necessario ed entro 72 ore dal rilevamento dell'incidente, che aggiorni le informazioni di pre-allarme
• relazione finale entro un mese dalla trasmissione della notifica

Il legislatore fissa, inoltre, i criteri per stabilire se un incidente deve essere considerato significativo:

• ha causato o è in grado di causare gravi interruzioni operative e/o dei servizi con conseguenti perdite finanziarie per l'interessato
• ha colpito altre persone fisiche o giuridiche o è in grado di colpirle causando perdite materiali o immateriali

Infine, anche le misure di vigilanza e di esecuzione sono di particolare importanza, a cui le entità saranno sottoposte in misura diversa. Esse includeranno controlli di sicurezza regolari e mirati, scansioni di sicurezza, ispezioni in loco, sorveglianza e richieste di informazioni.
Le sanzioni in caso di violazione delle misure di gestione del rischio di cibersicurezza o degli obblighi di segnalazione possono raggiungere un massimo di 10 milioni di EUR, ridotti a 7 nel caso di grandi entità, o almeno il 2 % (ridotto a 1,4% nel caso di grandi entità) del fatturato globale annuo riferito all'esercizio finanziario precedente.

Come prepararsi per affrontare la direttiva NIS2 dalla sua entrata in vigore?

La pubblicazione della direttiva NIS2, soprattutto se considerata unitamente a quanto disposto dai regolamenti (UE) 2022/2554 ( DORA) e 2022/2557 (CER), rivela immediatamente la necessità di importanti valutazioni organizzative per tutti gli enti pubblici e privati interessati dal nuovo quadro normativo europeo in materia di sicurezza informatica. A questo proposito, sebbene l'abrogazione della direttiva NIS e il recepimento della nuova direttiva NIS2 saranno efficaci a partire dal 18 ottobre 2024, lasciando un divario di pianificazione di 21 mesi, è essenziale che le parti interessate dalla direttiva NIS2 (in particolare se coinvolte anche dall'altra recente legislazione europea) investano immediatamente risorse per prepararsi al recepimento e all'integrazione con i processi aziendali.
La recente pubblicazione nella Gazzetta Ufficiale dell'Unione Europea della direttiva NIS2 pone già un tema più che ovvio per le imprese e gli organismi coinvolti nella valutazione e nell'armonizzazione delle politiche interne di sicurezza dei sistemi e dell'informazione, della loro continuità operativa, dei processi di gestione degli incidenti, nonché di quelle relative agli appalti e alla sicurezza della catena di approvvigionamento. In altre parole, sarà necessario valutare e adeguare tutti i principali processi interni di cibersicurezza, tarandoli sui nuovi obiettivi e sui nuovi obblighi di sicurezza, anche attraverso l'attuazione dell'approccio "multirischio" introdotto dal legislatore.

Per maggiori informazioni e/o approfondimenti rimandiamo alla documentazione ufficiale:

• The NIS2 Directive - A high common level of cybersecurity in the EU
• EurLex - Direttiva (UE) 2022/2555 del Parlamento Europeo e del Consiglio del 14 Dicembre 2022 relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS2)